194 评论

扫盲 Tails——专门强化隐匿性的 Linux 发行版

  这篇教程是半年前就答应要写的,如今已到年底,实在抱歉 :( 另感谢多位网友反复催促,有效杜绝了俺的健忘。
  今天这篇是面向菜鸟读者的初级扫盲,先介绍 Tails 的最基本使用。

★Tails 是啥?


  (如果你之前没有接触过 Linux,建议先看俺写的《扫盲 Linux:新手如何搞定 Linux 操作系统》)
  Tails 是洋文“The Amnesic Incognito Live System”的缩写。作为 Linux 发行版,Tails 衍生自 Debian(Debian 是最有影响力的社区发行版,没有之一)。设计 Tails 的目的就是为了帮助用户实现匿名上网,并最大限度保护个人隐私。为了达到这个目的,Tails 内置了各种隐匿身份和保护隐私的工具。俺随便列举如下几个:
TOR——用于匿名上网的工具,也可用于翻墙(它的入门教程在“这里”,FAQ在“这里”)
I2P——同上(它的入门教程在“这里”)
GnuPG——名气很大的文件加密工具(以后俺会抽空写它的教程)
TrueCrypt——跨平台的磁盘加密工具(俺写的系列教程在“这里”,共5篇)
LUKS——Linux 上的磁盘加密工具
Pidgin——跨平台的 IM 客户端,并捆绑了 OTR(用于对 IM 聊天内容进行强加密)
Claws Mail——邮件客户端,可以搭配 GnuPG 进行邮件内容加密
KeePassX——口令管理工具

  上述列举的这一大堆工具都是开源(开放源代码)滴,在业界也都是响当当滴。所以,工具本身的可靠性,大伙儿完全可以放心(不会有流氓软件混入其中)。

★如何获取?


  要获取 Tails 很容易,只要访问他的官网(https://tails.boum.org/),在主页就可以看到下载页面的链接。打开下载页面后,你可以选择直接下载 ISO 镜像,也可以先下载 BT 种子,然后用 BT 下 ISO 镜像(俺个人感觉,用 BT 更快)。

★如何安装?


  Tails 可以有几种玩法:其一,装在虚拟机中;其二,装在U盘(或SD卡);其三,刻录成光盘。对于初学者,俺建议先拿虚拟机来练手。因为虚拟机方式上手很快。比如常见的虚拟机软件(VirtualBox 和 VMware)默认都开启 DHCP 服务,而 Tails 默认也支持 DHCP,就省去了你配置网卡参数(比如:IP地址、掩码)的麻烦。

◇安装到虚拟机


  要在虚拟机中使用 Tails,先创建一个空白的虚拟系统(Guest OS),内存至少分配 768 MB(Tails 官网建议要 1GB,俺试验了一下,768兆也勉强可以跑)。然后在这个 Guest OS 的光驱设置中设置你刚才下载的那个 ISO 镜像。再启动虚拟系统,就 OK 啦。
  从来没用过虚拟机的同学,建议先看俺的教程《扫盲操作系统虚拟机》。

◇安装到U盘


  如果要安装到U盘,可以有两种方法:
  方法1
  参考俺前天的那篇博文《如何用ISO镜像制作U盘安装盘(通用方法、无需WinPE)》,把刚才下载的 ISO 镜像制作到U盘。然后这个U盘就可以直接用来启动 Tails 系统。
  补充说明:
  本文发布之后,看到有读者质疑说,那篇博文介绍的方法是用来制作安装盘的(安装环境),为啥也可以用来制作 Tails 的运行环境。
  俺稍微解释一下:Tails 本身就支持 Live CD 和 Live USB。也就是说,它是无需安装滴。所以用那篇博文介绍的方法把 Tails 镜像制作到 U盘中,这个 U盘 无需安装,直接就是运行使用环境。

  方法2
  先用前面说的虚拟机方式启动 Tails,在你的实体机(Host OS)上插入U盘/SD卡(容量至少1GB)。在虚拟机的菜单项中找 USB 相关的选项,把刚才插入的 U盘/SD卡 映射到这个虚拟系统。
  然后,进入 Tails 桌面,找到如下菜单项(截图如下)。
不见图 请翻墙

  启动它内置的 Tails Installer 工具(截图如下)这个工具可以把正在运行的 Tails 系统制作到 U盘/SD卡 中。
不见图 请翻墙

  这两种方法的效果有点小差别——第二种方法虽然稍微繁琐,但感觉比较正宗 :)

◇刻录成光盘


  最后这种玩法,应该不用俺再费口水了吧?不懂得如何刻盘的同学,自己去 Google 一下。

★如何配置?


  作为入门教程,俺先介绍如何用 Tails 内置的 Tor Browser 上网。因为 Web 浏览是最常见的需求。
  如果你是在墙外(天朝之外)使用 Tails,无需对 TOR 进行额外设置,直接启动内置的浏览器就可以了。
  可惜大多数网友都是在墙内,因为 GFW 严密封锁了 TOR 在全球的中继节点和 TOR 网桥,所以你如果直接运行 Tails 里面的 TOR,多半是没法联网的。解决办法就是俺常年罗嗦的老法子——双重代理。对双重代理不了解的同学,建议先看俺之前的教程《如何隐藏你的踪迹,避免跨省追捕[5]:用多重代理隐匿公网IP

◇先准备好前置代理


  要使用双重代理,你需要先准备好另外一款可用的翻墙工具(比如 VPN、自由门、无界、赛风、等)作为 TOR 的前置代理。此处有必要提醒一下,GAE 类的翻墙工具无法作为 TOR 的前置代理——因为 GAE 类的翻墙工具没有原生支持加密的 HTTPS 代理(而 TOR 恰恰需要 HTTPS 代理)。
  这款前置代理可以安装在另外一台虚拟系统,也可以直接安装在实体机(Host OS)。因为前置代理跟 Tails 不是同一个系统,所以你还要记得作适当的配置,把前置代理的翻墙通道共享出来(具体如何搞,请看《多台电脑如何共享翻墙通道》)。

◇配置 TOR


  前置代理搞定了之后,接下来就是配置 TOR。以下是多张截图,大伙儿按部就班。

不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

到了这步,你需要在 root 终端上运行 vidalia & 命令
不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

不见图 请翻墙

到了这步,就大功告成啦
不见图 请翻墙

顺便再贴个截图,show 一下内置浏览器上安装的扩展(这些扩展主要都是为了加强安全性,尤其是隐私和隐匿性)
不见图 请翻墙

★结尾


  因为是入门扫盲,今天就先聊到这里。如果有很多人对 Tails 感兴趣,俺根据大伙儿的反馈,再决定是否继续介绍 Tails 的其它功能。
  补充一下:如果你是在虚拟机中玩 Tails,可以再参考俺之前的博文《如何隐藏你的踪迹,避免跨省追捕[6]:用虚拟机隐匿公网IP(原理介绍)》,把 Tails 虚拟系统的虚拟网卡设置为 Host-Only,可以把安全性再提高一个等级。

俺博客上,和本文相关的帖子(需翻墙)
扫盲操作系统虚拟机
多台电脑如何共享翻墙通道
如何隐藏你的踪迹,避免跨省追捕(系列)
如何用ISO镜像制作U盘安装盘(通用方法、无需WinPE)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2013/12/linux-tails-guide.html

194 条评论

  1. 在这里学到很晚,刷新看资料,刚好遇到更新。
    编程先生辛苦。

    回复删除
    回复
    1. 此评论已被作者删除。

      删除
    2. TO 沙发
      你的留言好神速!
      俺刚发布,一刷新,就看到你的留言。

      删除
    3. 我是1楼

      巧合啦。
      犹豫选个什么版本linux,打算上来再温习一遍linux推荐篇,就看到新文章了。

      删除
    4. TO 3单元网友
      哦,确实蛮巧的。

      删除
  2. 好棒哦,又看到博主更新了。
    我用邮箱订阅了,RSS方式,包括文章和最新评论。
    不用翻墙也可以看到,好高兴啊。

    回复删除
    回复
    1. 忘了说了,这个我试过了,开2台虚拟机,一台当网关,一台安装tails。
      可以打开,就是速度慢了点。

      删除
    2. TO 2楼网友
      多谢捧场 :)

      TO 1单元网友
      你提到到速度慢。如果是指“网速”慢,应该跟你用的前置代理有关。
      基于 TOR 的双重代理,网速取决于前置代理。

      如果是虚拟机整体慢,那多半是你的 CPU 不够强。
      玩虚拟机,CPU 一定要支持虚拟化指令(Intel-VT 或 AMD-V)
      而且 CPU 的核心数 越多越好

      删除
  3. 想在双虚拟机的方案中用一台电脑做网关,另外一台虚拟机用Tails来上网。由于不懂LINUX,请教如何把 Tails 虚拟系统的虚拟网卡设置为 Host-Only ?个人认为在大陆苟活,只要安全性能够再提高,哪怕只是一丁点也要无所不用其极。

    回复删除
    回复
    1. TO 3楼网友
      Tails 支持用 DHCP 获取 IP 地址。而 VirtualBox 和 VMware 默认都开启了 DHCP 服务。
      所以,你在 Tails 系统内部就无需再设置 IP 地址了。
      但是需要在虚拟系统的配置界面修改网卡模式,具体操作可以参见《[url=http://program-think.blogspot.com/2012/10/system-vm-0.html]扫盲操作系统虚拟机(系列)[/url]》

      删除
  4. 楼主可以试试I2P+TOR 下载速度200+ 试过

    回复删除
    回复
    1. TO 14alpaca
      多谢分享经验 :)
      没想到现在 I2P 的速度有这么快,可喜可贺。俺抽空尝试一下。

      删除
    2. 我会用i2p,但是tor怎么通过i2p连接呢?

      删除
    3. TO 2单元的网友
      只需把 I2P 当成 TOR 的前置代理。
      具体配置参见《[url=http://program-think.blogspot.com/2010/04/howto-cover-your-tracks-0.html]如何隐藏你的踪迹,避免跨省追捕[/url]》系列的“多重代理”那一篇。

      删除
  5. 惨了!我又来迟了!博主最近发帖好神速、好勤奋啊!

    ARKOS是一个基于Linux的服务器操 作系统,可在小巧的Raspberry Pi硬件上运行(在https://prism-break.org也有介绍)。可以自运行/托管自己的网站、邮件、私有云等服务而不用依赖微软、谷歌、苹果等大公司提供的服务,况且他们说不定哪天又关闭了某些服务或是被迫接受NSA的监管呢!

    博主不妨借助ARKOS加上ownCloud搭建自己的私有云(搭配TrueCrypt加密安全多了吧),你还可以继续扩展到托管网站、邮件等互联网服务,自己托管安心多了,博主不妨试一试啊?

    回复删除
    回复
    1. 最近路透社根据斯诺登泄漏的文件报道RSA加密算法被NSA放置了后门以便轻易破解加密的数据,但RSA否认了,NSA则没有表态(有嫌疑啊),不知是不是真的?如果是真的,那我们普通用户该拿什么来加密啊(连加密算法都被放置后门,老大哥在看着你啊)?————还是5楼

      删除
    2. TO 5楼的网友
      多谢提建议 :)
      对于普通的网友,确实可以自己搭建私有云。
      但是俺不行。

      俺如果自己搭建私有云并对外提供服务,很容易导致个人身份暴露。
      所以俺目前还是继续依赖 Google 的 BlogSpot 博客平台,以及 G+ 和 Twitter 来发布信息。

      删除
    3. TO 1单元的网友
      RSA 的那个加密产品,主要是面向企业用户。
      对于普通网友而言——反正用不到,有没有后门,问题不大。

      删除
    4. 那我就更不明白了,RSA不是非对称加密吗?比特币、GPG、SSL不都是基于非对称加密的吗?它们都会产生一个公钥/私钥来,由于公钥是公开的,只要拿到你的公钥然后根据公钥通过算法中的后门计算出来你的私钥,那么你加密的邮件、数据、比特币就成为“裸奔“了,将会产生很大的威胁性啊(你的比特币会被收走,而且天朝也会暗自偷笑这巴不得下手的好时机啊)!

      删除
    5. 1.非对称加密有很多种;
      2.首先
      要分清楚RSA公司、RSA算法和RSA公司的密码产品RSA BSAFE;
      RSA公司:准确的说是美国EMC公司的RSA事业本部, RSA于2006年并入EMC公司;
      http://net.zol.com.cn/136/1363694.html

      RSA算法:
      在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。Ron Rivest是知名的密码学家,图灵奖得主。除了RSA算法之外,他发明的RC系列(RC2、RC4、RC5、RC6)和MD系列(MD2、MD3、MD4、MD5、MD6),也都是RSA公司的产品,都非常有知名度,并且在业内广泛使用,也都没有怀疑存在后门。
      http://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

      RSA公司的密码产品RSA BSAFE:(这个就是据说有后门的)
      RSA BSAFE据说有后门是因为:RSA BSAFE默认的说法是Dual_EC_DRBG;Dual_EC_DRBG是一种伪随机数生成算法,利用的是双椭圆曲线,用于生成随机密钥。该算法中使用了一个常数Q,但是标准中并未提及选择这个常数的原因,因此,Dual_EC_DRBG和DES一样,因为常数来源不明而被怀疑有问题。不过DES尽管几十年来大家都怀疑有后门,但是从来没有人找出来后门是什么。2007年8月,两名微软的研究人员Dan Shumow和Niels Ferguson就发现,Dual_EC_DRBG算法可以被植入后门[1]。他们提到,如果算法中使用的常数经过特殊选择,并且用来选择这些常数所使用的数据被算法设计者保存下来,那么该算法设计者在知道该算法生成随机序列的前32个字节的情况下,可以预知未来所有生成的“随机”序列。同时这两名研究人员也指出,该算法只是存在植入后门的可能,因为不知道算法的设计者是否知悉该缺陷,也不知道该算法的设计者是如何生成常数Q的,所以也无法确定他们是否能够知道那些后门数据,该结论不能认定NIST有意在该算法中植入后门。文章中提到解决该问题的方法是自行重新生成常数Q。
      到了2013年9月,斯诺登曝光出文件之后,似乎基本可以确定NSA设计了一个带有缺陷的随机数生成算法并通过NIST确立为国家标准。12月份,路透社披露,NSA通过买通RSA公司,将Dual_EC_DRBG作为Bsafe中的首选随机数生成算法。

      美国安局曾向国际通用加密技术植入后门:http://tech.sina.com.cn/i/2013-09-23/09448760548.shtml 该文中并没有说明是什么算法;
      RSA被指收美政府千万美元在加密算法中安后门:http://tech.sina.com.cn/i/2013-12-21/13499028417.shtml

      顺便说一句,中本聪大神用的双椭圆曲线不是伪随机曲线,使用的是Koblitz曲线。

      删除
    6. RSA被指收美政府千万美元在加密算法中安后门


      美国政府千万美元的支出用来购买RSA加密算法中安后门,是如何通过参众两院的?

      删除
    7. RSA被指收美政府千万美元在加密算法中安后门


      美国政府千万美元的支出用来购买RSA加密算法中安后门,是如何通过参众两院的?

      删除
    8. TO 红领巾
      多谢分享 RSA公司丑闻,并解释相关概念 :)

      删除
    9. TO 6、7单元的网友
      NSA 并不是直接用现金来买通 RSA 公司的产品漏洞。
      NSA 应该是跟 RSA 公司达成幕后交易,NSA 采购 RSA 公司的产品(价值上千万美元),然后 RSA 公司在 NSA 授意下设置算法后门。

      NSA 对 RSA 公司的采购应该是公开的,名义上是合法的。所以当时要通过国会,应该不难。

      删除
  6. to 楼主:第二种方法里的“把刚才插入的 U盘/SD卡 映射到这个虚拟系统”,是不是指把虚拟机的系统安装路径改成那个u盘的路径?

    回复删除
    回复
    1. TO 7楼的网友
      你的理解有误。
      俺的意思是:
      把物理系统(Host OS)的 U盘 映射到 虚拟系统(Guest OS),这样虚拟系统就可以看到这个 U盘。
      跟虚拟机的安装路径完全没关系。

      删除
  7. to 楼主:方法一的那个刻u盘的博文不是用来制作安装引导盘的吗,而现在是把tails系统用刻的方式装在u盘里面,这两者好像不一样吧。

    回复删除
    回复
    1. 博主,你确实弄错了,“ 本文介绍的是“用U盘当安装盘”,而不是“安装系统到U盘”(这两者是完全不同滴)”,这是你自己写的,而本文中说的是安装系统到u盘,因此你还没有讲方法一,那篇文章不是方法一。

      删除
    2. TO 8楼和1单元的网友
      传统的 Windows 系统有“安装环境”和“使用运行环境”两个概念。

      而 Tails 发行版本身支持 Live CD,也就是说,它是无需安装的的(也可以说“安装环境”同时也就是“运行使用环境”)
      所以,把它的光盘刻录到U盘,这个U盘就可以使用了。

      删除
  8. 买电脑什么牌子好

    回复删除
    回复
    1. 这个问题就不要在这里问了吧,配置上的去,什么牌子的电脑都是一样的

      删除
    2. TO 9楼网友
      这个问题,还是到专门的硬件论坛询问,比较好。

      删除
    3. 这么无聊透顶的问题实在不想回答了,大不了就买个国外品牌的电脑呗!

      删除
  9. 希望编程兄可以写一遍教程,教大家如何搭建个人VPN服务

    回复删除
    回复
    1. 请以“搭建个人VPN服务”为关键字在google搜索,教程多如牛毛。通过搜索引擎很容易得到的知识/资料就没必要扫盲了,不分主次每样都扫盲会很耗时间、精力的,事倍功半。
      自己主动搜索一下也会提高解决问题的能力从中也能学到很多知识啊,实在搜不到了(没人共享出来)才来求问嘛!

      删除
    2. TO 10楼网友
      去 Google 一下 OpenVPN 的相关资料或教程

      删除
  10. 建议那位网友根据编程兄弟 教程做个视频教程方便菜鸟 快速入门

    回复删除
    回复
    1. 做视频教程不必要了吧!自己把那些博文全都复制粘贴到word文档去或者把系列博文制作成pdf电子书也行

      删除
  11. Tails每次重启时会出现错误信息
    FATAL:Could not read from the boot medium ! System halted.如何解决?

    回复删除
    回复
    1. TO 12楼网友
      本文介绍了 Tails 的三种安装方式(虚拟机、U盘、物理光盘),你用的是哪种?

      删除
    2. 楼主,是虚拟机。

      删除
    3. TO 2单元的网友
      再次检查一下你的 虚拟机设置——确认虚拟机的虚拟光驱是否配置了 Tails 的 ISO 镜像。

      删除
  12. 回复5楼1单元:
    据说NSA花了10M美刀,让RSA在BSafe里面使用NSA有漏洞的随机数产生算法。这件事情的本质就在于可以让NSA掌握了随机数的规律,从而可以通过大大降低暴力攻击的难度(这儿的大大,可能指几个甚至几十个数量级)
    顺便吐槽,老美实在落后,NSA太弱了。放在伟大的天朝,有关软件开发商要花钱请一个有漏洞的算法来用。

    回复删除
    回复
    1. TO 13楼网友
      如果在天朝:
      有关部门直接下令让某某 IT 公司植入后门,不需要兜一个大圈子。
      而且天朝的主流媒体就算知道了,肯定不敢曝光

      删除
  13. 前置代理设好了,vidalia却一直显示“没有可用链路”,消息日志:警告 Problem bootstrapping Stuck at 5%: Connecting to directory server .(Network is unreachable;NOROUTE;count 91;recommendation warn) 怎么办?

    回复删除
    回复
    1. TO 14楼网友
      首先,确认一下你的前置代理的 IP 和端口 是否填写正确。
      其次,检查一下前置代理所在的系统的防火墙设置(防止被防火墙拦截了)
      最后,如果上述都没问题,把 Vidalia 关了重启,多等一会儿(10-20分钟)。

      删除
    2. 回楼主
      前置代理是VPN GATE ,用 Privoxy 转发,防火墙“例外”增设8118端口,Tails虚拟机 vidalia 网络代理:192.168.56.101 端口:8118 类型:http/https 等待30多分钟TOR也没变绿,警告信息如14楼。

      删除
    3. TO 2单元的网友
      如果是在 VPN 中用 Privoxy,你可以看一下 Privoxy 界面的日志。看有没有出现 TOR 的 HTTP 请求。
      如果始终没有出现,说明 TOR 压根儿没连到 Privoxy
      如果出现了 TOR 请求的日志,那有可能是你的 VPN 有问题。建议切换一下 VPN gate 的 Server(说不定换一个 server 就好了)

      删除
    4. 英文基础差,不晓得在哪儿看Privoxy 界面的“TOR 的 HTTP 请求”日志。

      删除
    5. TO 4单元的网友
      Privoxy 主界面显示的就是“日志”
      如果你看到主界面一片空白,那说明没有日志,也就是 Privoxy 没有接收到任何请求

      删除
  14. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, 256 bit keys2013年12月24日 下午11:03:00

    博主可以考虑写一下GPG的教程,网上那些教程基本上是复制粘贴,条理性不够好。

    回复删除
    回复
    1. TO 15楼网友
      俺早有此意,不过在扫盲 GnuPG 之前,恐怕得先扫盲一下非对称加密的相关概念。
      另,你的网名好长啊 :)

      删除
    2. TO 15楼网友
      俺早有此意,不过在扫盲 GnuPG 之前,恐怕得先扫盲一下非对称加密的相关概念。
      另,你的网名好长啊 :)

      删除
  15. 用無界打开博客会有广告

    回复删除
  16. 用無界打开博客会有广告

    回复删除
    回复
    1. TO 16、17楼的网友
      多谢反馈 :)
      你用无界打开其它网站,看看是否也有这个广告?

      删除
  17. 能不能把tails安装在u盘上呢?

    回复删除
    回复
    1. 重重复复的问题不想回答了,自己搜索看教程吧

      删除
    2. 当然可以装U盘,装硬盘还不行呢

      删除
  18. Pidgin还不如推荐jitsi,这个跨平台的,手机版也有,viop通讯,加密的,还有视频,也有otr.

    回复删除
    回复
    1. 我也推荐jitsi,但是就是不会用,这楼的,用jitsi是不是要充值什么的?

      删除
    2. 用它得先有xmpp服务器账号,才可以正常使用嘛,一般支持xmpp服务器不提供账号注册的,只要你会注册账号,就一定能用上的,建议看https://duck.co/blog/using-pidgin-with-xmpp-jabber 注册那里的账号为好。

      删除
    3. 请英语好的,或者会喜欢汉化的朋友,请翻译语言包,目前是65%. http://translate.jitsi.org/zh_CN/

      删除
    4. TO 19楼的网友
      多谢推荐 jitsi 这款软件。

      删除
  19. Pidgin还不如推荐jitsi,这个跨平台的,手机版也有,viop通讯,加密的,还有视频,也有otr.

    回复删除
    回复
    1. jitsi支持登录的网站账号太少,不如pidgin多,就是这一点不太好,其他的功能上,jitsi均优于pidgin。我不是这楼

      删除
    2. 支持xmpp还不够吗?太多了xmpp服务器呢,是要自己注册账号呢。

      删除
  20. 为什么刻录好了以后每次重启就又回到windows系统,用的是优盘装的 ,怎样直接把系统装在电脑上而不是优盘上

    回复删除
    回复
    1. u盘安装,那就看u盘启动linux成功后,看linux有没有安装到硬盘的功能,还有一种方法是直接安装在硬盘,问题是你安装过linux系统吗?没安装过的话,U盘安装对你来说还是有难度的,教程呀ubuntu论坛大把大把的有呀,学习吧,这里问不出多少的,只有自己有所体验才会明白自己问这个问题,犯二呗。

      删除
  21. 回楼主
    前置代理是VPN GATE ,用 Privoxy 转发,防火墙“例外”增设8118端口,Tails虚拟机 vidalia 网络代理:192.168.56.101 端口:8118 类型:http/https 等待30多分钟TOR也没变绿,警告信息如14楼。

    回复删除
    回复
    1. 我的设置和你差不多,等待5分钟TOR连通

      删除
    2. TO 22楼的网友
      前面有类似的提问(也许就是你),请参见俺在 14楼3单元的回复。

      删除
  22. Gr:
    分享下,但不知道是否正确。
    http://www.freebuf.com/articles/wireless/21519.html

    查水表的定位术
    有关部门定位嫌疑人的方式并不是通过日志来查询、锁定,而是通过网络运营商提供的数据来查找。网络运营商会提供某可疑IP上网时间以及该IP分配电话、宽带注册地址等等信息供相关部门锁定嫌疑人真实信息。如果嫌疑人有预留电话号码,无论该电话号码是否是实名注册,通过移动手机设备自身的一个串码即可以查询嫌疑人的手机用过几张SIM卡以及每个卡的号码是多少,当确定某个电话号码开通,便会利用无线电天线来侦查嫌疑人位置,调查人员还可以监听手机短信。当我们的手机接通后基站会给我们建立一个通讯频率,该频率运营商是确切掌握的,手机会通过本振频率来放大无线电波,放大无线电波的目的是为了准确的搭建起来语音通话频。运营商的无线电波属于短波F/0,穿透力比较弱,周期比较短。当确定嫌疑人手机号码后运营商会提供一个网络波段的密码。调查人员通过设备连接到该频率即可收听到语音通话内容。
    语音监听的步骤大致为,A手机号码给B手机号码打电话的时候,手机发送频率会上升,当手机频率上升后会发送给基站一个信号,这个信号里面包括手机串号和手机卡串号进行一个身份认证和扣费计时,我们每次打电话的时候都要等待1-5秒的时间才会有嘟嘟的声音的过程就是信号的发送过程。当B手机接通以后手机频率会降低,降低就是为了减少无线电波的干扰和噪音,也就是跳频技术。当降到1200-900MHZ在这个范围里本振频率开始工作,每个手机都有这个功能,这个本振频率有一个振动器是感觉不到的,它的作用就是将手机信号放大,当调查人员进入被监听者手机频率的时候,被监听者会听到电话里有滋滋的电波声音,或者亚音破音。这说明目标已被锁定,可以通过语音取证了。运营商提供给公众的语音服务就是点对点的一个加密模式,运营商提供给有关部门通话频率密码的条件下,被监听者的通话则易如反掌。如果提供的是基站的通信密码则可以对该基站范围的语音进行监听。

    回复删除
    回复
    1. TO GR
      多谢分享朝廷走狗的手机定位技术 :)

      删除
  23. 虚拟机里体验了一下,很不错,可惜版本和内核老了一点,要不然还可以做日常用
    这个Tails可以伪装操作系统,这一点让我想到,这一点也很重要啊,linux用户份额非常低,在众多的网站访问用户里边肯定是鹤立鸡群,再加上数据加密,流量异常,很容易被关注,必须改user agent伪装浏览器,还有操作系统,查了一下,chrome浏览器现在可以不用插件更改user agent,按ctrl+shift+i打开开发人员模式,最点右下角齿轮,overwhrite,就可以自定义浏览器表头,不过我试了一下,没法保存啊,设置完关闭以后表头并没有变,谁来试一下看怎么保存。 可以在这里验证是否修改成功 http://whatsmyua.com/
    另外请教一下各位,除了user agent,网站和运营商还有其他办法获取表头里相关的用户信息吗?我日常用的系统就是debian,突然意识到这个问题,虽然一般不做什么需要匿名的事情,但是不希望鹤立鸡群,还是泯然众矣比较好

    回复删除
    回复
    1. TO 金蛇郎君
      Tails 是基于 Debian 的。Debian 这个发行版偏保守。所以内核版本不是最新的。

      关于修改 Chrome 的 User Agent
      参见[url=http://program-think.blogspot.com/2013/06/privacy-protection-0.html]《如何保护隐私》系列[/url]的第4篇

      如果你担心运营商的监控,可以用加密代理的方式上网。运营商就看不到你的真实网络流量。

      删除
  24. 另外再请教一个问题,如果我想在一个U盘里分三个区,一个装这个Tails,第二个装Knoppix、ubuntu等linux liveCD,启动时候用grub来引导,没问题吧,是不是跟硬盘上的操作方式差不多?

    回复删除
    回复
    1. 是没有问题,问题是你会U盘量产吗?会分区吗?都会的话,你这是犯二呀

      删除
    2. 什么意思,这为什么是犯二啊?
      擦,被人骂还要请教骂的是什么意思。。。。
      一直搞不懂量产是干嘛,很高深的感觉,就是分区的吧?我用fdisk分好了三个区,两个ext4,一个fat32,现在准备装Tails了,没玩过U盘,试试看

      删除
    3. TO 金蛇郎君
      应该是可以的,俺个人认为和硬盘的操作差不多,你不妨先试试看。

      删除
    4. 只要U盘的容量够大, 装多个系统是没有问题的, 尤其是装linux系统更没问题, 前提是你的u盘可以当作启动u盘。不过目前大部分u盘都能支持启动的, 像启动光盘一样。所以, 通常情况下,根本不需要你自己去量产。分区的话, windows自带的分区工具或者下载一个partition magic, 或者你干脆在装第一个linux操作系统的时候用fdisk或者part分区,这个都是小菜一碟的问题。网上的教程一大堆。

      删除
  25. 我给土豪点根烟2013年12月27日 上午9:57:00

    感谢随想兄,通过分享学习知识又一次加强了我们的信息安全的能力

    回复删除
  26. 你真是周到,,我现在用ubuntu,真机装的,如要玩Tails又要折腾一大翻了..

    回复删除
    回复
    1. TO Inman L
      要玩 Tails,建议先在虚拟机中体验

      删除
  27. 终于等到了,好好学习一下!!!恭祝博主新年快乐啊

    回复删除
    回复
    1. TO 28楼的网友
      多谢捧场 :)
      同祝新年快乐!

      删除
  28. 博主你好,我在用VPN+SOCKS5组双重代理的时候碰到个问题。只连VPN可以上网,或者只连SOCKS5可以上网。但两个一起连就显示网页无法打开。但VPN+TOR却成功连TOR网络了。我想请问下该怎么处理呢?
    顺祝新年快乐,愿明年继续可以传播自由的声音!!!

    回复删除
    回复
    1. socks5是协议的类型,不是一种代理软件,你使用什么代理软件,其开放的端口是多少?浏览器的代理服务器设为该开放的端口就能联上了。

      删除
    2. 我是用网上提供的IP地址和端口的那种。我先连上VPN,之后在浏览器代理这里填(socks5)的IP,端口之后就连不上了。谢谢

      删除
    3. TO Li Han
      同祝新年快乐 :)
      你说的 SOCKS 方式,应该是指公网上的 SOCKS 服务器。
      一般来说,没必要用这种方式跟VPN 组合双重代理。
      要组合的要,要么是 VPN + TOR,要么是 SOCKS服务器 + TOR

      删除
  29. 求博主帮忙!
    我一直都在用NAT,这两天一直折腾host-only,死活连不上,虚拟机和物理机互相都ping不通,IP设置应该没问题的,各种IP段都换过,包括物理机的IP段,DHCP和手动设置IP都试过,vobx和vmware都一样的问题,我的物理机是debian7.3,虚拟机里Tails和windows用host-only都一样连不上。
    查了不少资料,基本都是windows下虚拟linux,竟然没一个linux环境下虚拟其他OS的文档,windows下需要打开vmnet1的网络共享,按理说linux也需要设置共享,但是怎么设置呢?

    回复删除
    回复
    1. 可能是debian防火墙问题,我以前用ubuntu遇到过,你尝试添加host-only网卡ip到防火墙规则例外中

      删除
    2. TO 金蛇郎君
      如1单元所说,你先查一下防火墙(包括 Host OS 和 Guest OS)
      然后再确认一下:你的虚拟网卡的模式有没有设置错误?相关的 IP 设置是否对?
      另外,Linux 下肯定是可以虚拟其它 OS 的,并且 NAT 和 Host-Only 都可以搞定(俺已经都测试过)

      删除
    3. 博主你到底在搞什么鬼啊?双重思想的那篇博文1楼40单元以下的留言都不见了,刚回复一条留言就出现了(1楼内40单元以下全部网友的留言)刷新后又不见了,诡异啊?

      删除
    4. TO 21楼的网友
      那篇博文的留言数超过了 200 条。
      如果留言数超过 200,BlogSpot 的留言系统,默认只显示最早的 200 条。
      这时候如果发布评论,页面重新刷新后,新评论因为是在200条之后,所以没显示出来。
      你需要到页面底部点击【加载更多】这个链接,就可以把所有的 留言/评论 都显示。

      删除
  30. 博主你好
    VPN Gate 每次连接上后又被强行断开,怎么破?

    回复删除
    回复
    1. 原因应该是你已经在网狗的黑名单上了。下面是从网上抄的。个人体验基本正确。但是偶不知道虚拟机是不是能更好地解决黑名单问题。

      GFW有三种针对翻墙的封锁伎俩。
      第一种是封锁。这时网是通的。拿自由门来说,4个服务器中有的能上网有的不能。
      要是这时网狗还盯着你封你,那就不管你选哪个服务器都会不停地往A服务器跳,并且
      服务器会逐渐减少。一般来说,网狗要是盯着你换通道也没有用。

      第二种是限制。这时网也是通的。自由门VPN什么的运行都正常。但就是半小时你也打不开一个网页。

      第三种是断网。这时网络被切断了,尽管宽带连接显示的是连着的。一般这种情况是出现在你翻墙已经持续了一段时间后比方说连续半小时。
      要是你同时运行着自由门和VPN,现象就是VPN突然断了,同时,注意是同时,自由门突然开始搜索服务器。
      断网又分两种,一种是瞬间断网后马上又开通。另一种是断上一段时间后才开通。
      所以自由门的那个一次被封后若干分钟内禁止搜索服务器的设置是欠妥地。

      封锁有时是基于ip的,有时是基于帐户的。要是遇到封锁时你把宽带连接断开后再重新连接就又能翻了,那就是基于ip的。要是咋折腾也没有用那就是基于帐户的,这有两种解决办法,一种是拔掉网线半小时后在上网,另一种是去找到那只网狗,干死他。

      删除
    2. TO 31楼的网友
      关于VPN gate 的 Server 连接后立即被断开,这个问题俺之前介绍过解决方法。
      具体参见《[url=http://program-think.blogspot.com/2013/07/gfw-news.html]2013年7月翻墙快报(补充介绍 VPN Gate 经验)[/url]》

      删除
  31. 站长很忙,只有自己上门来了。
    想问问有否在弄ipv6 bridge+tor的顽主,想交流一下。目前本人使用Expert Bundle的最新版本,使用p6 网桥以及无界前置连接都很方便。路子多一些当然好,但前提是要有一款简单可靠的方式,然后再多方位思考。

    hongwang777

    回复删除
    回复
    1. 你现在用的教程公布一下.
      ipv6 bridge+tor

      删除
    2. TO hongwang777
      老熟人,抱歉一直没回你的邮件 :(
      实在是邮件太多 :(

      貌似用 ipv6 bridge+tor 的网友不多,没人回应

      删除
    3. 今天看到這篇
      我在台灣,用ipv6開網橋的

      删除
  32. tails是个好工具,但是网络匿名性不如双虚拟机方案,比如浏览器有漏洞或者中了牛B的木马就麻烦了,但是好处是可以随身带到任意电脑,而且不留电脑上不留痕迹。呵呵,偏偏我是喜欢在家里慢慢捣鼓的人。
    我用TrueCrypt,一个忽悠系统日常工作用,一个隐藏操作系统里面是双虚拟机。

    回复删除
    回复
    1. TO 33楼的网友
      看来你的安全意识很强 :)
      Tails 虽然本身不是双系统,但是可以自己搭建双系统,其中一个安装 Tails
      在本文末尾,俺稍微提了一下。

      删除
  33. 关于中国网警如何非法监控公民隐私的报告[url]http://www.boxun.com/news/gb/china/2013/12/201312291851.shtml#.UsAEh9IW1PY[/url]

    回复删除
    回复
    1. TO 34楼网友
      文章写得过于简单、笼统不够详细。国内服务器有监控和根据ip查询这谁都知道(就如同“雪梨可以延年益寿”众人皆知),但是服务器怎么监控以及如何根据ip查询的整个运作流程没有写出来(这就如同雪梨怎么样搭配营养以及它的功效,如何才能延年益寿却没有说清楚),属于泛泛而谈。
      光知道大体概念还不够,还要更具体详细的方法/教程。

      删除
    2. TO 34楼的网友
      多谢分享网文 :)

      删除
  34. 期待博主继续介绍 Tails 的其它功能。

    回复删除
    回复
    1. TO 35楼的网友
      多谢提建议 :)
      关键看大伙儿的反馈——如果比较多人想用 Tails,俺可以考虑继续普及其它功能。

      删除
  35. 如果是优盘或光盘启动,上网如何设置?

    回复删除
    回复
    1. TO 36楼的网友
      这个问题问得好!
      因为 TOR 被 GFW 严厉封锁,导致 TOR 无法【直接】联网
      有两个解决办法:
      1、如果还是用 Tails 里面的 TOR,需要自己准备前置代理(对于生活在墙外的网友,没有此问题)
      这个前置代理,可以是你的另一台电脑上的翻墙工具,也可以是公网上公开的代理服务器
      2、改用 Tails 内置的 I2P

      删除
  36. 在vbox里用虚拟机启动tails,然后做U盘启动盘,做完之后我8G优盘竟然变成2.4个g,这什么情况。。在网上一顿下载修复工具,终于把容量搞回来了。。

    回复删除
    回复
    1. TO 王超
      请问你用的是哪个工具制作U盘启动盘?

      删除
  37. 请问如果在有木马的电脑上使用U盘启动系统,是否会被木马窃取密码?

    回复删除
    回复
    1. TO 38楼的网友
      这个问题要具体看。
      一般来说不会出问题。
      但是,
      如果你用 U盘启动之后,又运行了原有系统中的软件,而那个软件正好又被恶意代码感染,那么你还是会中招。

      删除
  38. xxoxx[for identify only]
    用这个系统的人,更容易暴露自己的企图。

    回复删除
    回复
    1. TO 39楼的网友
      如果你用了 Tails,并且还搭配双重代理。
      那么外部环境的人(比如运营商)是无法知道你在使用 Tails 上网的。

      删除
  39. 匿名上网的时候不要做的事情
    (基于Linux的匿名通用操作系统Whonix开发者给用户的忠告)
    1、匿名上网的时候我想看看自己的网站是什么样子
    匿名的时候,不要访问与你的真实姓名或网名有关联的个人网站
    原因如下:
    会有多少人访问你的个人网站?其中有90%是Tor用户,或仅仅你自己,或很少的一些人?
    这样的匿名性很弱。一旦你访问了自己的网站,你所使用的Tor回路便不安全了。出口节点知道有人访问了你那个访问量并不是很大的个人网站,很容易猜到那个人就是你自己。并且很容易假定接下来的连接都是由你的机器发起的。

    登陆你真实的facebook账号却还以为自己在匿名上网
    不要登陆个人facebook(国内网站同理)账号。不管其是否与你真实姓名相关联或仅仅是假名。
    你可能会添加了一些好友,而他们知道这个账号是你的。通过facebook社交网络可以猜到你是谁。没有万能的匿名上网解决方案。一些匿名上网软件可能会很好的隐藏你的IP地址/地理位置。但是facebook不需要你的IP地址/地理位置。他们已经知道你是谁,你有哪些朋友,你和谁发了什么私信等等。这些信息都会保存在facebook的服务器上。没有什么软件能够删除这些信息。只有facebook自己或黑客可以。所以一旦你登陆了自己的facebook账号,你仅仅是隐藏了地理位置而已,而不是匿名性。

    在使用Tor网络的时候,永远不要登陆你在其之外曾登陆过的账号
    要假定你在登陆一个网站的时候,网站服务器会记录你的登陆IP地址/地理位置,何时访问,及访问了哪些内容。
    同样要假定,每当你通过你的ISP(网络服务提供商)接入网络的时候,它会记录你的在线时间,所分配的IP地址,及流量信息。
    你的ISP同样会记录你连接了哪些IP地址,产生了多少流量,及你发送和接收了什么。
    (除非你的数据加密过,否则会看到你的明文信息。)
    哪怕你只搞砸了一次,使用了可以关联到你的非Tor网络的IP地址,那么你的整个账号就暴露了。

    不要登陆你的银行账户,支付宝,易趣,或其他重要的个人账户
    登陆与钱修改的支付宝,易趣或其他你名下的个人账户有一定的风险,欺骗预防系统认为这是一个可疑操作,从而冻结你的账户,因为一些黑客会使用Tor网络进行欺骗攻击,冻结账户应该不是你想要的结果。上面已经解释过,这也破坏了匿名性,这是伪匿名性,并且会带来隐患(访问了ISP屏蔽的网站),暴露你的位置隐私,后面的章节会介绍真正的匿名性和伪匿名性的区别。
    很多时候你可以联系客服解锁你的账户,甚至让预防系统放过你的账户,Whonix的一个开发者adrelanos不反对使用Tor网络来保护你的位置隐私,但是你应该清楚上面所讲,会冒账户被冻结的风险,以及本页所提的其他一些警告,如果你清楚自己在做什么,请随意。

    回复删除
    回复
    1. 不要使用免费的WIFI代替Tor
      你可能会觉得使用免费的WIFI会更快一些,并且和Tor一样的安全,因为IP地址不能和你的真实身份关联起来,但最好同时使用WIFI和Tor,而不是仅其一。
      IP地址的近似位置可以缩小到一个城市,区,甚至街道,即使你已经离开了,你仍然留下了所在城市及大体的位置信息,因为大多数人并不会只为了一个免费的WIFI而跨越大洲,虽然这不会破坏你的匿名性,但是却将嫌疑圈从全世界缩小到了一个很小的地区,这会大大的破坏你的匿名性,最好尽可能多的隐藏你的个人信息。

      避免Tor over Tor的情景
      Whonix规范中有讲。
      当使用透明代理的时候(Whonix系统中含有一个),在客户机中开启的Tor会话很可能是通过了透明代理,这样便会产生Tor over Tor的情景,这会发生在向Whonix-Workstation虚拟机中安装Tor或在其中使用Tor Browser Bundle却没有修改浏览器所用代理的时候,这样做会带来未定义或潜在的不安全行为。
      理论上,你会得到6个中继而不是3个,但事实上并不能保证你会得到另外3个不同的中继节点——很可能你得到仍是前3个节点,也许顺序反过来或交叉顺序。
      目前还不清楚这样是否安全。这还没有经过广泛的讨论,你可以选择Tor网络的入口/出口节点,但是让Tor自己来进行路由选择可以获得更好的安全性,自定义入口/出口节点会破坏匿名性,目前还不知道为什么。
      总之,不建议使用Tor over Tor。

      端到端未加密的时候不要发送敏感数据
      在警告页已经解释过,Tor的出口节点会被监听或者发生中间人攻击。
      不想让第三方获取发送者和接收者之间的敏感数据,使用端到端加密是唯一方法。

      不要泄露你的身份信息
      IP地址并不是破坏匿名性的唯一方式,同样的,社会工程学也有巨大的危害。
      下面收集了一些避免匿名性泄露的建议:
      不要在昵称中包含个人信息。
      不要谈论个人信息,比如你家乡何处……
      不要提及你的性别,纹身,饰品或身体状况。
      不要提及你的职业,爱好,或你参加的活动。
      不要使用你用语言键盘上的特殊字符。
      匿名上网的时候不要在常规网站上发帖子。不要使用推特和facebook。这很容易进行互相关联。
      不要转发你facebook上的图片链接。图片名称包含你的个人信息。
      不要使用匿名和非匿名同时连接相同的地址。要交替开。
      时刻谨记网络聊天,论坛,邮件列表都是公开的。
      时刻谨记所谓的英雄只会出现在漫画书中。现实中不存在。
      如果匿名上网的时候需要使用个人信息,向上面所提到的要当做敏感信息加密处理。

      删除
    2. 不要同时使用不同账号
      这很容易进行互相关联。Whonix并不会帮你区分开不同账号的前后关系。
      见下述。

      使用完推特,facebook,谷歌等账号后及时退出
      严格限制登陆推特,facebook,谷歌和其他基于账号服务(如论坛等)的时间。
      在你读完留言或发完日志后立即登出。
      关闭Tor Browser,更换Tor回路,等一段时间回路变换后再重新打开Tor Browser。
      为了获得更好的安全性,可以使用Recommendation to use multiple VM Snapshots
      和/或use multiple Whonix-Workstations
      多个虚拟机快照和/或多个Whonix工作站。
      这是因为很多网站会集成“分享”,谷歌分析,广告等。
      因为你还在登陆中,所以这些插件会告诉网站你依然在访问该网站。
      同时注意上面提到的不要同时使用不同的账号。

      不要混淆匿名性的不同模式
      大致了解下匿名性的不同模式:
      模式(1):用户匿名;接收端随意
      情景:匿名发帖/邮件/评论
      情景:检举
      你是匿名的。
      你的IP地址被隐藏。
      位置隐私:你的地理位置是保密的。
      模式(2):用户知道接收者;都使用Tor网络
      情景:收发方互相知道彼此,并且都使用Tor网络。
      没有第三方知道他们互相通信了什么,甚至不知道他们在通信。
      你不是匿名的。
      你的IP地址被隐藏。
      位置隐私:你的地理位置是保密的。
      模式(3):使用Tor网络但是密钥匿名;接收者随意
      情景:登陆真实用户名使用一些服务,邮件,facebook,推特等……
      很显然你不是匿名的。一旦你使用真实用户名登陆,网站立马就知道你是谁了。
      这种情况下Tor网络也无法保证你的匿名性。
      你的IP地址被隐藏。
      位置隐私:你的地理位置是保密的。
      模式(4):密钥匿名;接收者随意
      情景:未使用Tor网络的正常浏览。
      你不是匿名的。
      你的IP地址泄露了。
      你的地理位置泄露了。
      结论
      混合使用模式(1)和模式(2)是不明智的。
      例如你在模式(1)下使用了一个即时聊天或邮件账号,那么在模式(2)的时候就不要使用相同的账号。
      前面有讲过为什么。
      使用相同Tor会话的时候混合模式也是不明智的,他们会使用相同的出口节点(身份信息很容易互相关联)。
      其他的模式组合也会很危险,并且带来个人信息或位置信息的泄露。

      如不是很清楚则不要自定义配置
      修改不联网应用程序的配置,通常是安全的。
      例如不再显示tip或隐藏菜单栏对匿名性通常没有影响。
      查阅Whonix的文档,看看你想修改的配置有没有列出或不建议修改的。尽量保持默认值。
      修改联网应用程序的配置,即使只修改界面相关的,也要非常谨慎。
      例如不建议移除Tor浏览器上的一个菜单栏或将其最大化。
      后者则可令人知道屏幕的大小,这便留下了浏览器的指纹特征。
      修改网络设置的时候要非常小心,并且很明确其所带来的影响。
      例如不要去尝试所谓的“Firefox调优”的建议。
      如果你确定当前的配置不是最优的,请提交修改方法,Tor浏览器的开发者在下一个版本中会为所有用户进行修改。

      不要同时使用普通网络和Tor网络
      同时使用普通浏览器和Tor浏览器,你会有混淆两者的使用且破坏匿名性的风险。
      同时使用普通网络和Tor网络非常的危险,不建议同时使用匿名方式和非匿名方式连接同一个服务器。
      下面会介绍原因。
      如果你真的不打算遵从本条建议,那么你至少也要使用两台不同的电脑,以免混淆浏览器的使用。

      删除
    3. 不要同时使用匿名方式和非匿名方式连接同一个服务器
      强烈反对使用此方式连接远程服务器。也就是说,不要同时创建Tor连接和非Tor连接到同一个远程服务器。
      如此一来,你的网络连接最终便会暴露,你的网络连接就此泄露,对于敌人来说,将所有的报文片段联合分析,
      从而判断一个公网IP和Tor网络IP的对应关系并非难事,最终导致你身份的暴露。

      不要混淆匿名和假名
      本节介绍匿名和假名的区别。给一个词下定义是很困难的,因为这需要大多数人的认可。
      匿名连接:一个到目标服务器的连接,目标服务器无法确定原始IP和位置,也无法和某一个身份关联。
      假名连接:一个到目标服务器的连接,目标服务器无法确定原始IP和位置,但是能够和某一个身份进行关联。
      理想情况下,Tor网络,Tor浏览器(和潜在的操作系统,硬件,物理安全等)是完美的。
      例如用户访问一个新闻网站,该新闻网站或该新闻网站的ISP都无法确定此用户曾经是否访问过该网站。
      相反情况,不正确的使用软件,例如使用Firefox代替Tor安全的浏览器Tor Browser,网络连接的原始IP虽然被隐藏了,
      但是一个标识符(比如Cookies)便可以让这个连接变成假名连接。
      目标服务器会记录下如此日志信息“用户111222333444在日期c时间b看了电影a,在日期f时间e看了电影d。”。
      这些信息会用于分析。随着时间的累积,这些分析数据就变得越来越易于理解,降低了匿名性,
      也就是说,最坏情况是导致真实身份的暴露。
      一旦某人使用一个用户名登入了网站(论坛或邮箱),依照定义此连接便不再是匿名的,而是假名的。
      原始的IP虽然是隐藏的,但是该连接可以和一个标识符相关联,也就是说,此情况下和一个账号名称关联。
      标识符可以用于保存日志的很多信息。
      用户什么时候写,何时登入登出,写了什么,向哪个用户发送了什么,IP地址(无用的,是Tor的出口节点),浏览器指纹等。

      不要第一个发布你的链接
      你创建了一个匿名博客或隐藏服务?非常好。你的推特账号有很多的粉丝,有很大的普通网络群?非常好。
      要抵挡住诱惑,不要第一个将你的匿名项目昭告天下。
      最好严格分开各个账号的用途,减少马甲之间的交叉关联。
      当然有时候你已经这么做了,不过还是要非常小心。

      不要随意打开文件或链接
      某人在邮件中给你发了给pdf文档或pdf的链接?发送者的邮箱/账号/密码可能已经被盗用,pdf可能是伪装的木马感染你的系统。
      不要使用你被期望使用的工具去打开它。
      例如使用pdf阅读器查看pdf文档。如果文档可以公开,使用一个在线pdf阅读器。

      不要进行手机验证
      有些网站比如谷歌,facebook在你使用Tor登陆的时候会让你进行手机验证。除非你非常的聪明或有其他方法,否则千万不要。
      理由:
      你使用的手机号会记入日志。SIM卡通常是使用你真实姓名注册的。
      即使不是,接收一条短信息会暴露你的地理位置。
      即使你是匿名购买的SIM卡,并且在离你家很远的地方使用,也是有风险的。
      问题在于手机。
      每次手机接入移动网络的时候,服务商会记录SIM开的序列号和手机的序列号。
      如果你的SIM卡是匿名购买的,但是手机却不是,那么你并没有获得匿名性,
      因为这两个序列号是互相关联的。
      如果你真的想进行手机验证,你需要在远离你家的地方,全新的手机,全新的SIM卡,
      并且在你使用完后立即关机,马上离开,立即烧毁手机和手机卡。
      你可以找一个提供在线接收短消息的服务。那样可以带来匿名性。
      但问题是,谷歌和facebook在进行验证的时候很可能将这些网站加入了黑名单。
      或者你可以找另外一个人帮你接收短消息,但这仅仅是将风险转嫁给另一个人。

      删除
    4. 以上转自Google+。供看得懂的人参考。但是,博主,这篇写得比较难懂,如果你能够在藏匿身份的系列里加一篇易懂的就好了。

      删除
    5. TO 12345
      多谢分享难得的高质量帖子。不过太长了得慢慢看、慢慢消化,我刚才大致看了一下感觉自己所做的还不够匿名仍处于危险之中。

      关于有些网站开启手机二次验证并不是很安全,虽然骇客拿不到你的手机但是ISP已经监控并记录了你的短信内容(尤其在专制国家如天朝千万不能用,太危险了)。我曾尝试在网上申请个免费的虚拟手机号码来接收谷歌、微软、dropbox、facebook等网站的短信验证码但一直不成功(接收不到验证码),也不知这个方法可不可以保持匿名,不知怎么办了?

      我感觉博主好像故意有所保留不肯告诉我们,但愿不是吧!

      删除
    6. 哈哈,这是我在这个博客里看到的文章,然后找了原文,发到G+,然后你又发回这里了

      删除
    7. 你是Jeff Doan吗?哈哈,看到朋友了.你说是在这里看到的,哪里啊?

      删除
    8. TO 12345
      多谢分享隐匿身份的文章 :)

      删除
  40. 请问博主为什么把这系统安装到U盘到话 无法通过wifi连接外网,连接上wifi后只能ping通内网的ip?

    回复删除
    回复
    1. TO 41楼的网友
      Tails 的设计是让网络访问都基于 TOR(以确保匿名)
      你先看看 TOR 是否能连外网(比如你找一个公网的代理服务器,看TOR 是否能基于这个代理服务器联网)。

      删除
  41. 求助U盘启动tails后ping不通外网网关(windows下正常)拨号和连无线路由都不行,上网环境是移动宽带分配的ip地址是内网ip。连上无线路由后可以ping通路由和局域网的机器还有WAN的ip地址和部分同网段地址,无法ping通WAN的网关和DNS。

    回复删除
    回复
    1. 看了官方文档,tails默认是完全使用tor连接的,关闭tor进程也没用,而且无法安装到硬盘。发邮件获取的网桥没用,i2p也打不开无法补种。

      删除
    2. 其实你会翻就可以啦,种子还是可以用goagent搞定,我只连过一次,以后不愁种子问题。第二种连接巡vpn代理,手动设置下,能补上种子的,反正我有种子,都备份的,不用再连所谓的代理。手机也有i2p,不过也是通过vpn补种的,种子也被我备份出来,种子应该是通用的,都有备份的哈。

      删除
    3. TO L
      建议先在虚拟机中尝试 Tails 并用其它翻墙工具做 TOR 的前置代理。
      看看是否 TOR 能联通?

      关于 I2P 补种
      可以先在某个能翻墙的电脑上,翻墙下载种子。
      或者先把某个翻墙工具做 I2P 的前置代理,进行补种。
      补种之后,I2P 就可以独立运行了

      删除
  42. 双虚拟机方案搞不定的,推荐一种简单安全的方法:使用Whonix(通用匿名linux发行版)的gateway——这发行版有两个镜像,一个网关,一个工作区——作为网关,然后用Tails作为工作区,tails里网关和DNS设置为192.168.0.10,本地IP设置为192.168.0.11-255,浏览器代理可以关闭,也就是说Tails不使用自带的Tor做代理,而是使用Whonix的网关分发的流量。

    回复删除
    回复
    1. Whonix也是属于双虚拟机啊(双虚拟机原理其实就是让一台作为匿名工作区的电脑A通过另一台充当路由网关的电脑B来转发数据的)!

      只是tor在国内被封只能先连接vpn或代理软件才有用,愁的是linux的代理软件少得可怜(大部分都是windows平台下的),又难找一些可靠的vpn服务器(必须是不被gfw干扰的否则通不过tor的线路— https://check.torproject.org/显示为黑色洋葱头和大叉叉,通得过就是绿色的洋葱头),vpngate客户端也是windows平台的,实在是难找vpn和代理软件啊?

      删除
    2. Whonix是双虚拟机,但是那个界面我很不适应,懒得自己配置,其实我这个思路是想说,可以用Whonix的gateway做网关,配合其他操作系统,比如XP做工作区,省很多麻烦

      删除
    3. 我其实是想用linux完全取代windwos的(windowns太闭源、太垄断了不利于编程学习和信息安全,更扼杀了创新意识),可就是难找一个linux平台下的代理软件或可靠的vpn(国内买的vpn基本都是被gfw干扰的根本通不过tor线路)来搭配tor使用,能不能介绍些linux平台下的代理软件或可靠的vpn啊?

      删除
    4. 我不是做编程、开发、技术的,已经完全脱离windows一年多了,只要你勇敢得尝试换到linux,就一定能适应,完全取代windows,可悲的是大多数人都不敢迈出第一步。
      linux可以说是为互联网而生的,基于互联网的操作系统,各种代理工具,服务端基本都是基于linux,或者linux平台部署更方便,比如VPN、Openvpn、SSH、shadowsocks之类的,客户端当然也一样,其他的主流代理软件比如goagent、Tor、L2P、Puff之类的更没问题,连自由门、无界这类只支持windows平台的代理,也可以通过wine来运行。
      我用过的VPN也都是从国内买的,都能连上Tor。选择VPN最好选线路多的,支持平台多(iOS、android)/协议多的(l2tp\ipsec\openvpn\ssh\shadows\SPDY......) 而且也不能只图便宜,我正在用的那家很不错,但是人家不让公开宣传。推荐香港的开心直通车

      删除
    5. TO 金蛇郎君
      tor能网络连接还不行,一定要注意看https://check.torproject.org/是否显示为绿色的洋葱头才算是走tor线路,反之就显示为黑色洋葱头和大叉叉就不安全了。

      删除
    6. 恩,严格来说,如果是对匿名要求高,仅仅洋葱头变绿也不行,还要检查是直接连上的,还是通过VPN一类的前置代理连上的,现在大陆节点普遍被封锁,如果不用前置代理就连上了,反而要考虑是否可能连上的入口节点是真理教的钓鱼服务器;
      即使是通过VPN连上的,还要考虑这个VPN提供商的身份,是不是地下铁一类的安全性未知的提供商;如果是其他提供商,是国内还是国外的,是国内的话,他们是不是匿名的,会不会被当局要求交出流量日志。
      当然这就比较极端了,我只是提供需要考量的因素。

      删除
    7. 不过我买的国内vpn几乎没有一个是洋葱头变绿的(也就是被gfw干扰污染的基本都是明文),所以我就想找些可靠些的vpn以使tor的洋葱头变绿且速度快的这样才会安全些,愁的是太难找了,能否提供些可靠的vpn啊(一定不能被gfw干扰的才行啊)?

      删除
    8. 上边不是介绍了一个吗,香港的开心直通车,你先用免费的试试看能不能连上Tor,VPNCUP也不错,但是线路略少,我在用killwall,线路很多,协议很全
      你买的国内哪个VPN,怎么会连不上Tor,不应该啊

      删除
    9. vpncup、豆荚vpn、杜鹃vpn、dearvpn这些国内vpn,tor网络已连接但是https://check.torproject.org/页面显示为黑色洋葱头和大叉叉(也就是被gfw干扰了)通不过tor线路,而vpngate是免费国外的没有受到gfw的干扰洋葱头自然就是绿色的,要找的正是没有受到gfw干扰的vpn洋葱头才会变绿,否则等于是一层透明的代理很容易被追踪(服务器日志交给网警就惨了)

      删除
    10. 什么豆荚、杜鹃之类的,网站都是备案过的,那就是说是GFW认可的,而不是“认证”的,发生这种事我不觉得意外,这种VPN,流量日志肯定是跟国安共享的,就算能连上Tor,建议你也不要用。
      VPNcup应该没问题,网站都是翻墙才能上,我刚才想试验一下它的帐号,结果VPN一直连不上
      我好像很少遇到Tor连上以后那个网页显示洋葱不是绿的,而且你换这么多VPN都一样,是不是该考虑一下其他因素?

      删除
    11. TO 金蛇郎君
      多谢分享你关于 Whonix 的经验。

      另外,同意你所说的:某些国内的 VPN 是有危险的。
      这些 VPN 有可能已经被朝廷的走狗监控了。

      关于本楼前面几单元讨论的 TOR 安全性问题,可以参考俺之前的博文《[url=http://program-think.blogspot.com/2013/11/tor-faq.html]"如何翻墙"系列:关于 TOR 的常见问题解答[/url]》

      删除
  43. 乐善好施乐善好施2014年1月7日 下午1:05:00

    网站备案就不安全了么?那么您认为eset杀毒软件安全么?

    回复删除
    回复
    1. 只要你不用比特币交易都是不安全的(不管你是否备案)且网站根本不需要备案的,只有在专制国家中(如天朝)不懂技术的白痴流氓统治者才会强调备案,网站只有在言论自由的环境下才有意义,否则像天朝内不但被迫自我审查、阉割而且网站也不会长久的。

      删除
    2. TO 乐善好施乐善好施
      典型的只看现象不看本质还自以为是,我就花点耐心教一下你。
      备案,说明服务器在国内;服务器在国内,说明经营的业务是政府批准的;经营虚拟专用网(VPN)一类的业务网站备案前要通过工信部前置审批;要通过前置审批前提是注册资金1000万,就算绕过这条,或者借用别人的资质,那起码也得是公司,有关键时候能绳之以法的人,流量日志必须要保留6个月,意味着你用了VPN也在监控之内。
      另外:
      VPN现在是被严格限制的,淘宝上几年前就开始禁止销售VPN、SSH,去年GFW升级,SSH和OPENVPN差不多算是死了,可以说VPN几乎死掉;
      另一方面,多数经营VPN项目的网站(典型特征:服务器在国外、域名没备案)都被墙了;
      与此同时,一批经营游戏加速器、VPN代理的公司仍然可以公开宣传公开销售,稍有点思考能力都会想想:为什么?
      如果你不理解我在说什么,那你根本没必要看这个帖子,或者根本就搞不明白:这帮蛋疼的傻逼为什么要研究Tails、匿名、加密什么的

      删除
    3. TO 1单元
      我觉得备案这主意可不是不懂技术的白痴想出来的,这招虽然无耻,但是对网络封锁来说非常管用,说是备案制,其实是准入制,不备案就可能被GFW屏蔽,备案了就得把服务器放国内严格接受监控和过滤,不过我自己的网站一个都没备案过

      删除
    4. ESET 卡巴斯基都在中国备案了,它们都不能在中国使用了么?

      删除
    5. TO 无界有广告了
      这不是抬杠吗,ESET和卡巴斯基经营VPN业务了?他们是国内公司?或者产品是国内团队开发的?
      VPN业务备案需要前置审批,不能是外资,为的就是“信息安全”,跟普通的网站备案完全是两回事

      如果你还觉得没说服力,好吧,ESET和卡巴斯基哪个网站在中国备案了,你意思是他们的代理商网站吧?

      删除
    6. ESET网站http://www.eset.com.cn/在中国备案了 卡巴斯基网站 http://www.kaspersky.com.cn/在中国备案了

      删除
    7. 好吧,你只看到我问哪个网站备案了,别的内容选择性无视了?这里说VPN这种很敏感的、可能被跟踪和监控的匿名工具
      就算说杀毒软件,工具本身和病毒特征库都是可以校验完整性的,就算网站本身备案,也不影响安全性,我并没有说任何备案的网站都不安全,不能上。
      真要说杀毒软件的安全性,想想QQ这个超级大木马吧,卡巴斯基还“误报”过,我更愿意阴谋论得认为是才大气粗的腾讯利用代码的封闭通过公关说服这些安全厂商把自己加入白名单,只要不过于赤裸裸。反过来说,就算卡巴斯基那么牛逼,要不向腾讯妥协,还要不要中国市场了?杀毒软件的选择有很多,中国人依赖的QQ只有一个

      还有,ESET那个网站还是代理商。

      删除
  44. 不知道博主以及大家注没注意笔记本的集成摄像头和麦克风安全问题,有新闻报道称黑客可以不经用户允许悄悄打开目标的摄像头和麦克风...
    我的对策是用胶布把摄像头粘上,麦克风我就不知道怎么弄了,大家的麦克风都是怎么弄的呢?

    回复删除
    回复
    1. 麦克风拆了,打字就可以了

      删除
    2. ;管理;焚枯食淡;;孤苦伶仃;2014年1月8日 下午1:16:00

      好像不止一个麦克风,好拆么?

      删除
    3. TO 45楼的网友
      安全觉悟挺高嘛 :)
      其实捏,很多人的笔记本摄像头就是一个鸡肋。
      解决办法有两类:软的 硬的
      软的方式,可以把相关的驱动卸载掉
      硬的方式,就好比你提到的用胶布把摄像头贴掉。

      删除
    4. 有键盘记录器式的木马,你是不是把键盘给拆了,不说话不会死。

      删除
    5. TO 4单元网友
      冷静些别那么激动!注意语言!人家没傻到那种程度,不是必需要的(可要可不要甚至只是偶尔使用的情况下)可以拆掉懂了吗?不加以解释总让某些攻击性强的网友产生误解

      删除
    6. 哪有激动,哪有指责,安全意识是没错,用U盘启动的linux系缚,有必要这样子吗,别太敏感,半隐身人足够了,难道你还想一黑到底吗?除非系统确实装了木马或其他有害软件。

      删除
    7. TO 4单元网友
      不!我不满足于现实还要更进一步提高安全性(虽然我也知道没有绝对的安全,但还是想要不断的追求那无止尽的信息安全技术),不写那么多了省略几个字吧,免得又产生更深的误会和偏见,又是暴跳如雷的攻击

      删除
    8. 最安全的办法,不要经常用,不用公共网络,双重代理,走加密连接,ort,启用了就是超短时间,及时更换个硬件和系统以及身份。黑客的活迟早被捉的,只是时间早晚而已。俺们说这些,共匪能监控及存档的,完全透明的,连https都不是。

      删除
  45. 编程大哥找不到设置中文的地方啊

    回复删除
  46. 请教大神Tails在虚拟机中创建安装时应该选择什么linux版本呢?还有怎么选择linux内核?

    回复删除
    回复
    1. 我选的是debian,好像wiki说是debian发展来的~~~

      删除
  47. 期待博主继续普及Tails系统

    最近很好奇相关内容所以查了些资料,有一些问题。
    我想询问博主
    Tor,VPN,ISP,I2P之间的关系。如果我使用Tor嵌套I2P,我觉得至少我的ISP会记录我的原始IP以及会发现我使用Tor服务吧?(虽然不知道具体内容以及访问对象)
    如果先使用VPN再使用Tor+I2P效果会好一些么?

    另外,拜读了博主关于虚拟机和翻墙系列的文章,我又有新的疑问
    怎样快速部署一个绝对安全的使用环境。(当然,没有绝对的安全,但是好奇怎么做到联网环境下的最安全)
    我对此的思考是
    系统使用虚拟机,文件保存使用Truecrypt等,网络使用VPN+Tor+i2p。但是由此产生的疑虑是怎么保证我的虚拟机使用环境是安全的
    如果我制作成U盘系统,从U盘启动使用虚拟机快照,这样会不会是一个相对安全的做法?但是怎么避免电脑主机上的病毒以及键盘记录等软件

    以上纯粹是为了好奇,因为最近看到了不少黑产的新闻。

    回复删除
    回复
    1. 能分享下你阅读的黑产新闻链接么?2014年2月23日 下午1:02:00

      能分享下你阅读的黑产新闻链接么?

      删除
  48. 一直想要和博主写这个问题如何保证能下载到原版软件的方法
    前面博主讲过验证散列值这个可以验证但是有以下几个问题,我讲下我下载软件的方法
    首先就是把软件名称百度,在国内找有没有讲这个软件在英文网站的下载方法
    然后按讲的方法去下载的,然而很多软件都没有讲在官方的下载方法,只是国内下载站的,那是万不敢下载的
    比如你说的这么多的linux 我都想去官方下载,结果进的都是中文界面的下载,怕污染不敢下

    回复删除
    回复
    1. 首先,不要用百度,原因你懂的——我还是解释一下吧:一来是因为百度和谐了很多内容,二来是因为百度的搜索质量实在不敢恭维,即便是只搜索中文内容也未必比得上google。其次,登陆了官方网站后注意检查一下域名网页内容等等,免得一不小心上了钓鱼网站;另外要是实在不放心的话就检查一下软件的MD5啊hash值啊什么的,这个博主是说过的。如果这样都不行的话就向博主和楼下的网友们求助吧:-)

      删除
  49. Have you ever considered about including a little bit more than just
    your articles? I mean, wha you say is important annd all.
    However imagine iif you added some great photos or video clips to give your posts more, "pop"!
    Your content is excellent but with images and clips, this site could definitely be one of
    the greatest in its field. Excellent blog!

    My web blg - Venus Factor Review

    回复删除
  50. tails 出了新版本,请楼主继续普及tails

    回复删除
  51. 请教下编程兄,用vm装tails的时候,操作系统版本的地方选择什么呢? debian和其他linux都有好几个版本。也不知道tails是基于哪个版本的

    回复删除
    回复
    1. 亲们,虚拟机安装的话,tools,怎么安装的啊?搜索了好久,没找到答案

      删除
    2. 还没得到编程兄的回答。编程兄最近很忙哦?也没怎么更新了。
      用vm装tails的时候,操作系统版本的地方选择什么呢? 目测只有选“debian”或者"other linux",但是每个也有很多版本。不知道怎么选。

      删除
  52. 求更多Tailsr 教程

    回复删除
  53. 使了下最新的tails
    tor设置不了
    这篇要更新了

    回复删除
  54. 博主能不能介绍如何在TAILS系统里边采用非TOR的IP的办法?现在很多网站封锁TOR的IP,像谷歌注册尤其难。最好是能够通过TAILS,然后再以固定的(当然是匿名)的IP访问?
    这个问题如果能够解决,那么TAILS的易用性就又好多了。

    回复删除
  55. 报告一个问题,使用tor浏览器留言会碰到谷歌的验证码,验证码是让你辨认图片。
    可是我发现浏览器只显示实例图片,下面的9张待选择的图片都显示不出来,试了很多方法如禁用插件都不行。
    我使用的tor浏览器是tails内置的,希望看到此留言的网友能分享下解决方法。

    回复删除
    回复
    1. 装个其他浏览器,设置走tor,安装前记得在root 终端apt-get update。至于tails关机就清除数据的特性,可以考虑在【不关闭虚拟机】的情况下用虚拟机的快照,这样所有内存信息写入硬盘,恢复快照就可以用之前下载的浏览器了。注意:做快照之前不要有敏感操作,以防留下某些痕迹。
      另外回复56楼,可以考虑openvpn over tor,在右侧站内搜openvpn tor。不过tails有点诡异,我试了openvpn报错
      这种玩法我更推荐用whonix,系列教程google:用虚拟机匿名吧

      删除
  56. 博主,Tails更新了很多个版本,此文章里的内容好像不是很适用了

    回复删除
  57. 请更新下tails新版本的教程吧!

    回复删除
  58. 现在Tails官网上还有中文的吗

    回复删除
    回复
    1. [url=http://postimg.org/image/6lm6dis0h/][img]http://s32.postimg.org/6lm6dis0h/vm1_2016_04_29_07_36_08.jpg[/img][/url]
      有中文,五笔、拼音都好用

      删除
  59. talis里面的tor浏览器添加过滤大陆节点时,权限不够,该怎么办啊?

    回复删除
  60. 现在新的tails3.1 我卡在root终端那输入代码 上说未找到命令。。。 tor也连不上网。。。。求助啊!。。。。

    回复删除
    回复
    1. Tor 当然连不上了,你要先翻墙。

      删除
    2. 刚看了一下,最新版的Tails3.1搭配的Tor浏览器是最新版7.0.4,使用的是最新版的Tor0.3.0.10,这个版本经实测目前在电信网络下可以直接联网,即不用网桥或者代理服务器。不知道是新版Tor的破网能力增强,还是GFW出了点小差池?

      删除
    3. 刚看了一下,最新版的Tails3.1搭配的Tor浏览器是最新版7.0.4,使用的是最新版的Tor0.3.0.10,这个版本经实测目前在电信网络下可以直接联网,即不用网桥或者代理服务器。不知道是新版Tor的破网能力增强,还是GFW出了点小差池?

      删除